mardi 5 juillet 2011
TDL-4, le super botnet qui fait peur
Par coyote, mardi 5 juillet 2011 à 10:50 - Malwares / sécurité
Le « top bot », selon l’expression de ses découvreurs, serait la « menace la plus sophistiquée » sévissant actuellement sur Internet. Transmis par des rogues, installé dans la MBR et capable de chasser les virus concurrents, il aurait infecté 4,5 millions de PC sous Windows en trois mois pour créer des botnets, c’est-à -dire des réseaux clandestins.
Deux informaticiens travaillant chez l’éditeur d’antivirus Kaspersky, Igor Soumenkov et Sergey Golovanov, viennent de décrire une sorte de monstre, créateur de botnets, ces réseaux d’ordinateurs devenus zombies (c’est le terme) à l’insu de leur propriétaire et destinés à convoyer spams et virus ou à installer des pièges par phishing. Le nouveau venu n’est pas tout à fait un inconnu, expliquent ses découvreurs, puisqu’il est une variante, ou plutôt une évolution, du logiciel malveillant TDSS, apparu en 2008.
De nombreux perfectionnements ont été apportés depuis la version précédente, baptisée TDL-3, qui augmentent considérablement la dangerosité de ce parasite, affirment les deux informaticiens. TDL-4, compatible avec les systèmes 64 bits, infecte la MBR (Master Boot Record), c’est-à -dire le premier enregistrement sur le disque dur, chargé dans la mémoire au démarrage de l’ordinateur, donc avant même le système d’exploitation. Il est alors difficilement détectable. TDL-4 installe un rootkit, donc un ensemble d’outils logiciels pour modifier le système d’exploitation et se rendre indétectable.
Un vrai business
En tout, TDL-4 installerait une trentaine de logiciels sur le PC, et même un antivirus ! En effet, ce parasite est programmé pour éliminer ses concurrents s’il y en a (il en connaît 20, dont Zeus), afin d’être seul maître à bord. L’intérêt est double. Tout d’abord, la compétition règne entre cybercriminels et ces botnets sont des affaires lucratives. De plus, l’éradication de virus peut éviter d’éveiller les soupçons de l’utilisateur, qui sera peut-être même ravi de voir son ordinateur fonctionner plus vite…
Bref, l’objet, intégralement démonté par les deux informaticiens, pourrait susciter l’admiration s’il n’était pas franchement malveillant, servant à véhiculer toutes les plaies du Web. Il est aussi une opération marketing, cet engin parasite ou ses services étant vendus.
Ses auteurs, expliquent les deux informaticiens, ont commercialisé le code de TDL-3 à d’autres cybercriminels, au risque de faire de l’ombre à son successeur. Mais TDL-4 serait si sophistiqué que cette concurrence de l’ancien ne gênerait pas le jeune loup.
Le dernier-né serait vendu par licence, avec un programme d’affiliation. Les deux informaticiens estiment qu'il en coûte de 20 à 200 dollars (14 à 140 euros) pour infecter un millier de PC. De quoi envoyer des spams… Il y aurait des options : toujours selon la même source, l’installation d’un proxy sur un PC infecté serait facturée 100 dollars par mois (environ 70 euros). Ce business nauséabond est-il une affaire florissante ?
Source : Futura-Sciences
lu 3246 fois